「Qlik Sense Enterprise」の脆弱性が標的に - ランサム攻撃でも

BIツール「Qlik Sense Enterprise」における既知の脆弱性が、攻撃の標的となっていることがわかった。ランサムウェアの感染活動に悪用されているとの指摘もある。

「Qlik Sense Enterprise for Windows」において8月より9月にかけて判明した3件の脆弱性「CVE-2023-41265」「CVE-2023-41266」「CVE-2023-48365」について悪用が確認されたもの。Qlikではアドバイザリを更新し、あらためて注意を呼びかけた。

「CVE-2023-41265」は、HTTPリクエストをトネリングすることで権限の昇格が可能となる脆弱性。バックエンドサーバ上でHTTPリクエストが実行可能となる。「CVE-2023-41266」はパストラバーサルの脆弱性で、HTTPリクエストを実行できる匿名セッションを生成できるという。

同社では8月にリリースした「同August 2023 Initial Release」「同May 2023 Patch 4」「同February 2023 Patch 8」「同November 2022 Patch 11」「同August 2022 Patch 13」にてこれら脆弱性を修正した。

一方「CVE-2023-48365」は、「CVE-2023-41265」の修正が不完全であることが判明し、追加のアップデートにて修正された 「HTTPトネリング」の脆弱性。

9月にリリースした「同August 2023 Patch 2」「同May 2023 Patch 6」「同February 2023 Patch 10」「同November 2022 Patch 12」「同August 2022 Patch 14」「同May 2022 Patch 16」「同February 2022 Patch 15」「同November 2021 Patch 17」にて修正した。「同November 2023 IR」も影響を受けないとしている。

（Security NEXT - 2023/12/08 ） ツイート

PR

関連記事

Google、「Chrome 144」をリリース - 脆弱性10件を解消
2026年最初のMS月例パッチが公開 - ゼロデイ含む脆弱性114件に対応
MS、2025年最後の月例パッチ - ゼロデイ含む脆弱性56件に対処
外部アプリ保有の会員情報が流出、原因など調査 - スマレジ
複数関連サイトで改ざん被害、一時外部に誘導 - 都教組
東京デフリンピックの審判員一覧や承諾書を紛失 - 都スポーツ文化事業団
都立大教員がフィッシング被害 - 海外研究者アカウントからのメールで
「Apache Struts」にXXE脆弱性 - 修正版がリリース
「Node.js」のセキュリティ更新、現地時間1月13日にリリース予定
先週注目された記事（2026年1月4日〜2026年1月10日）